Con la implementación de NIS2 ya en marcha en toda la UE, una nueva encuesta de Censuswide encargada por Veeam Software revela el impacto significativo en las empresas, a medida que estas se adaptan a la directiva en materia de ciberseguridad. Veeam ha descubierto que, aunque la mayoría de los responsables de TI confían en poder cumplir la directiva NIS2, ésta también ha amplificado los retos, como la limitación de recursos y la escasez de personal cualificado. Esta encuesta reveló que esta “carencia de competencias” es el principal desafío para las organizaciones de la región EMEA, y el 30% afirma haber recurrido a los presupuestos de contratación para apoyar los esfuerzos de cumplimiento de la NIS2.
Esta encuesta puso de manifiesto que, si bien los responsables de TI han conseguido el presupuesto suficiente para cumplir la directiva NIS2, el impacto en otras áreas podría ser significativo. El 68% de las empresas afirma haber recibido el presupuesto adicional necesario para el cumplimiento de NIS2. Sin embargo, el 20% identificó el presupuesto como una barrera significativa para lograr el cumplimiento. Desde el acuerdo político para la NIS2 en enero de 2023, el 40% de las empresas se ha enfrentado a una disminución de los presupuestos de TI y el 20% no ha experimentado cambios en sus presupuestos. Además, el 95% de las organizaciones han desviado fondos de otras partidas de la empresa para cubrir los costes de cumplimiento de la NIS2. En concreto, el 34% de las empresas ha recurrido a sus presupuestos sobre gestión de riesgos, el 30% a una contratación más amplia, el 29% a la gestión de crisis y el 25% a reservas de emergencia. Esta reasignación acentúa la presión adicional a la que se ven sometidos los ya limitados recursos financieros de estas organizaciones.
Edwin Weijdema, Field CTO EMEA en Veeam, afirma que “asegurar un presupuesto adecuado para la ciberseguridad es a menudo un reto para los líderes de TI, pero las estrictas sanciones y el énfasis en la responsabilidad corporativa de NIS2 pueden ayudar a facilitar ese proceso. Sin embargo, dado que la mayoría de los presupuestos de TI se están recortando o permanecen paralizados debido al aumento de los costes empresariales y la inflación, NIS2 está tirando de un fondo ya limitado. Resulta especialmente preocupante que se desvíen fondos de las reservas de contratación y emergencia. La NIS2 no debería tratarse como una crisis, y sin embargo, una de cada cuatro empresas parece verlo así”.
Índice de temas
NIS2 echa leña al fuego respecto a los retos para los responsables de TI
La encuesta también manifestó las principales presiones empresariales que sienten los responsables de TI. El hecho de que la NIS2 ocupe el puesto 10 en la lista de prioridades pone de manifiesto la gran variedad de retos a los que se enfrentan los directivos. Los cinco principales retos son: la falta de cualificación (24%), la preocupación por la rentabilidad (23%), la transformación digital (23%), el aumento del coste de los negocios (20%) y la falta de recursos (20%). Estos resultados revelan que los recursos, tanto humanos como financieros, son los principales factores limitantes para los líderes de TI, aunque NIS2 exige ambos.
Para cumplir la normativa, las empresas están tomando varias medidas como: realizar auditorías informáticas (29%), revisar los procesos y las mejores prácticas de ciberseguridad (29%), desarrollar nuevas políticas y procedimientos (28%), invertir en nuevas tecnologías (28%) y aumentar la asignación presupuestaria para ciberseguridad (28%). Los principales “facilitadores” del cumplimiento de la norma NIS2 son las nuevas soluciones tecnológicas (27%), las auditorías informáticas (25%) y las competencias organizativas internas (25%), que exigen un presupuesto y unos conocimientos específicos.
El presupuesto de TI en EMEA está dominado por la seguridad y el cumplimiento normativo
A pesar de las reducciones presupuestarias generales de TI en los últimos dos años, se han seguido asignando fondos adicionales para el cumplimiento de la NIS2, ya sea del presupuesto de TI o de otro área dentro de la empresa. Esta limitación puede explicar por qué el 80% de los presupuestos de TI de EMEA se destinan ahora a ciberseguridad y cumplimiento por parte de las empresas obligadas a cumplir la NIS2. Esto deja poco margen para abordar los principales retos de los responsables de TI, como la falta de competencias, la rentabilidad y la transformación digital.
“Mantener la seguridad y la conformidad es vital para cualquier organización, pero el hecho de que actualmente suponga la mayor parte del presupuesto de TI; manifiesta lo poco preparadas y dotadas de recursos que están las organizaciones. Los responsables de TI disponen de presupuestos limitados, pero aun así necesitan encontrar los recursos para cumplir rápidamente los requisitos de NIS2. Aquellos que adopten un enfoque holístico de la seguridad y las mejores prácticas, antes de que la legislación lo exija, se enfrentarán naturalmente a una menor presión, lo que les permitirá abordar mejor otras prioridades y retos clave”, añadió Andre Troskie, Field CISO EMEA de Veeam.
Reino Unido lidera la inversión y la confianza en NIS2
A pesar de que NIS2 no afecta directamente a las empresas británicas, aquellas que realizan operaciones con entidades de la UE deben cumplirlo, y sus respuestas muestran un panorama diferente. El Reino Unido fue el único país encuestado que informó de un aumento en los presupuestos de TI desde enero de 2023, con un 62% de los responsables de la toma de decisiones de TI con sede en el Reino Unido informando de un aumento del presupuesto y solo un 14% experimentando una disminución. Esto ha permitido a las empresas británicas invertir más en mejorar su seguridad antes de la entrada en vigor de la directiva.